
El error afecta al motor SSDP del navegador, engañándolo para que este active los URI de Android sin la interacción del usuario. El ataque inicia repentinamente aplicaciones en el dispositivo objetivo sin el permiso de los usuarios.
En este tipo de ataque el usuario no tiene por qué interactuar con un sitio web malicioso, hacer clic en un enlace malicioso, o instalar ninguna aplicación maliciosa, simplemente debe tener el navegador Firefox ejecutándose en su teléfono.
El atacante se encarga de engañar al navegador indicándole que hay un servidor SSDP “Simple Service Discovery Protocol” con una configuración determinada, siempre y cuando el atacante y la victima se encuentren en la misma red Wi-Fi.
El navegador el cual siempre se encuentra en busca de nuevos servidores SSDP en otros dispositivos, se encuentra con el del atacante, este le responde con un XML especificando el dispositivo UPnP que puede encontrar en la red. En este UPnP es donde es encontrara la URL maliciosa, que el atacante hace visitar a la víctima sin que está tenga que hacer nada.
El investigador InitString descubrió que este error todavía está
presente en la versión de Firefox Mobile v79 e informo de ello directamente a
Mozilla. Mozilla confirmo después, que está vulnerabilidad no se encuentra
presente en la versión más reciente de la aplicación, por lo cual, es
recomendable actualizar la aplicación a su versión más reciente.
No hay comentarios:
Publicar un comentario